Täg­lich grüsst das Mur­mel­tier: Gedan­ken zum Vor­ent­wurf der Datenschutzverordnung

Wer dach­te, mit der Ver­ab­schie­dung im Par­la­ment sei der Weg für das Inkraft­tre­ten des revi­dier­ten Daten­schutz­ge­set­zes end­lich geeb­net, sieht sich getäuscht. Der Ende Juni nach lan­gem Anlauf in die Ver­nehm­las­sung gege­be­ne Vor­ent­wurf für die Daten­schutz­ver­ord­nung (VDSG) schiesst der­art weit übers Ziel hin­aus, dass die Kri­tik in der Ver­nehm­las­sung gross sein wird. Der Weg bis zu einem Inkraft­tre­ten scheint lang wie je. Kaum jemand glaubt noch an ein Inkraft­tre­ten vor Anfang 2023. 

Es ist ein Déjà-vu: ein pra­xis­fer­ner Regu­lie­rungs­ent­wurf, der bei Unter­neh­men auf brei­te Ableh­nung stösst. Man kommt sich ein biss­chen vor wie Bill Mur­ray, der im Film „Täg­lich grüsst das Mur­mel­tier“ den­sel­ben Tag immer wie­der von Neu­em erlebt. Der Zeit­schlei­fe ent­kommt er im Film schliess­lich, indem er sich in Demut übt und Gutes tut. Auch dem Bun­des­rat (bzw. dem zustän­di­gen Bun­des­amt für Justiz) möch­te man zuru­fen, sich bei der Über­ar­bei­tung des Ver­ord­nungs­ent­wurfs auf alte Tugen­den zu besinnen:

  • Zurück­hal­tung und Geset­zes­treue: Die Daten­schutz­ver­ord­nung soll­te nur jene Punk­te regeln, für die das revi­dier­te Daten­schutz­ge­setz effek­tiv Aus­füh­rungs­vor­schrif­ten auf Ver­ord­nungs­stu­fe vor­sieht: Bei den Min­dest­an­for­de­run­gen an die Daten­si­cher­heit, bei der Pflicht zur Füh­rung eines Ver­ar­bei­tungs­ver­zeich­nis­ses, bei den Moda­li­tä­ten des Aus­kunfts­rechts sowie bei ein­zel­nen wei­te­ren Punk­ten (wovon vie­le aber nur Daten­be­ar­bei­tun­gen durch Bun­des­or­ga­ne betref­fen). Wenn der Vor­ent­wurf z.B. plötz­lich eine Infor­ma­ti­ons­pflicht des Auf­trag­be­ar­bei­ters sta­tu­ie­ren will (Art. 13 VE-VDSG), so hat dies schlicht kei­ne Grund­la­ge im Gesetz.
  • Rea­li­täts­sinn: Die Ver­ord­nung soll­te von Unter­neh­men nur ver­lan­gen, was die­se rea­li­sti­scher­wei­se erfül­len kön­nen. Und zwar nicht nur die gro­ssen finanz­star­ken Kon­zer­ne, son­dern auch die vie­len mit­tel­stän­di­schen Unter­neh­men. Die vor­ge­schla­ge­nen Vor­schrif­ten zur Daten­si­cher­heit (Art. 2 VE-VDSG) sind z.B. kei­ne Min­dest­an­for­de­run­gen, wie es Art. 8 Abs. 3 revDSG eigent­lich ver­langt. Es ist viel­mehr ein breit gefä­cher­ter Strauss ambi­tio­nier­ter Schutz­zie­le, die „erreicht“ wer­den sol­len. Was ja noch eini­ger­ma­ssen gin­ge, wenn ihre Ver­let­zung nicht mit Stra­fe bedroht wäre. Ist sie aber. Das zeugt von wenig Bewusst­sein, wie schwie­rig es ange­sichts der heu­ti­gen Cyber­ri­si­ken ist, alle die­se Schutz­zie­le stets zu erfül­len. Hier wür­de sich ein Blick in die DSGVO loh­nen: Art. 32 DSGVO ent­hält ver­nünf­ti­ge Rege­lun­gen zur Daten­si­cher­heit, die fast tel quel über­nom­men wer­den könnten.
  • Mut zum Los­las­sen: Rege­lun­gen der heu­ti­gen Ver­ord­nung brau­chen nicht fort­ge­schrie­ben zu wer­den, wenn sie über­holt sind: Zum Bei­spiel das Bear­bei­tungs­re­gle­ment (Art. 4 VE-VDSG). Das revi­dier­te Daten­schutz­ge­setz über­nimmt sämt­li­che der umfang­rei­chen Doku­men­ta­ti­ons­pflich­ten der DSGVO – vom Ver­ar­bei­tungs­ver­zeich­nis bis zur Daten­schutz-Fol­gen­ab­schät­zung. Von Schwei­zer Unter­neh­men zusätz­lich irgend­wel­che hel­ve­ti­sche Regle­men­te zu ver­lan­gen, ist unsin­nig. Unter­neh­men in der Schweiz soll­ten nicht mehr Doku­men­ta­tio­nen füh­ren müs­sen als Unter­neh­men im EWR. Zeit, Schwei­zer Eigen­hei­ten loszulassen.

Der Ver­ord­nungs­ent­wurf schnürt ein Regu­lie­rungs­pa­ket, das an vie­len Stel­len noch über die Anfor­de­run­gen der DSGVO hin­aus­geht. Er igno­riert, dass es die erklär­te Absicht des Gesetz­ge­bers war, sol­che „Swiss Finis­hes“ zu ver­mei­den. Und schaut gross­zü­gig dar­über hin­weg, dass die Bestim­mun­gen der Ver­ord­nung eigent­lich einer gesetz­li­chen Grund­la­ge bedür­fen. Dies gilt es nun zu kor­ri­gie­ren. Der Ver­ord­nungs­ent­wurf ist eine ver­pass­te Chan­ce. Er ist zugleich aber auch eine Chan­ce, es im zwei­ten Anlauf bes­ser zu machen.

Mat­thi­as Glatt­haar ist Lei­ter Daten­schutz und Daten­schutz­be­auf­trag­ter im Migros-Genos­sen­schafts-Bund. Er gibt sei­ne per­sön­li­che Mei­nung wieder.